Política de privacidad para empleados

11042

Una de las principales obligaciones de las empresas respecto a la Ley de Protección de Datos (LOPD) es la de regular correctamente las relaciones con terceros: proveedores, clientes, usuarios, etc, con el fin de evitar riesgos inherentes a estas relaciones y hacer un seguimiento adecuado de las incidencias para que en el caso de que estas se produzcan poder determinar correctamente las responsabilidades en el caso de una incorrecta gestión de la información o una mala práctica profesional.

Obligaciones de los empleados

Destaca especialmente en este ámbito el papel de los empleados, ya que son usuarios habituales y continuos de toda la información que circula por la empresa, incluyendo por supuesto una gran cantidad de datos de carácter personal, y están por tanto afectados por las obligaciones impuestas tanto por la LOPD como por su reglamento de desarrollo. Una de estas obligaciones sería la del Deber de Secreto (art. 10 LOPD):

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Es por eso que la empresa deberá recoger el compromiso de confidencialidad y las políticas de privacidad, incluyendo el manejo de material informático por parte de los usuarios en algún momento de la propia relación laboral: bien en el contrato de trabajo, como parte del clausulado general o bien en el momento de la adecuación a la normativa con algún tipo de documento ad-hoc.

¿Y si el empleado se niega a firmar?

En el caso de que los trabajadores o colaboradores se negasen a firmar cualquier “Acuerdo de confidencialidad” o comunicación escrita donde se regule la política de empresa, esta se podría ver sancionada en caso de inspección de la administración, ya que en este tipo de procesos el responsable del fichero (es decir, la empresa) es el único responsable posible de cualquier sanción.

Por ello, las empresas deben disponer de una Política de Empresa que regule los procesos, responsabilidades, etc. de los trabajadores para con la empresa y viceversa, y que cumpla con los requerimientos de las diversas leyes que les afecten, siendo la empresa la responsable de informar y formarlos para que sepan que riesgos corren y a que sanciones quedan sujetos.

Con lo cual, cualquier incumplimiento por parte del trabajador del reglamento interno de la empresa y sus modificaciones, supondría un incumplimiento del Convenio Colectivo correspondiente, considerado como falta grave o muy grave, la cual podría suponer causa de despido disciplinario. Por otro lado, el supuesto de negación de la obligación de aceptar la Política, presupone Abuso de confianza y mala fe, lo que supone causa de despido procedente.

Sentencias judiciales

Hemos visto las últimas semanas varias casos de sentencias judiciales que parecen limitar la capacidad del empresario para acceder y controlar los sistemas de información que usan sus empleados, con lo que a primera vista nos encontramos con una contradicción: por una lado la empresa es responsable de los actos contrarios a la LOPD cometidos por sus empleados, por el otro parece limitada en su capacidad de control, lo que nos llevaría a una situación aparente de indefensión.

Aclaremos que detrás de titulares del tipo “El empresario no puede acceder al ordenador de sus empleados” hay casi siempre un incorrecta política en esta materia, es decir, si el empresario no se ha preocupado de poner por escrito las correspondientes “políticas de uso de los medios informáticos” y “políticas de privacidad”, de tal forma que el empleado sea consciente de que el uso del equipo informático debe ser, exclusivamente, para llevar a cabo las actividades necesarias en el desarrollo de sus funciones dentro de la empresa, es entonces cuando puede encontrarse con problemas a la hora de denunciar un mal uso de dichos equipos.

Un ejemplo reciente

El Procedimiento Nº PS/00355/2010 instruido por la Agencia Española de Protección de Datos (AEPD) contra una empresa por llevar a cabo una auditoria informática en el ordenador de un empleado que sirvió de justificación para su despido disciplinario por uso abusivo de Internet, termina con una sanción de 60.101,21 € por una infracción del artículo 6.1 de la LOPD.

La AEPD aclara, citando una sentencia del Tribunal Supremo, que

El empresario tiene que controlar el uso del ordenador, porque en él se cumple la prestación laboral y, por tanto, ha de comprobar si su uso se ajusta a las finalidades que lo justifican, ya que en otro caso estaría retribuyendo como tiempo de trabajo el dedicado a actividades extralaborales. Tiene que controlar también los contenidos y resultados de esa prestación.

Sin embargo tanto la jurisprudencia del Tribunal Supremo como el gabinete jurídico de la AEPD reconocen la necesidad de una actividad informativa por parte del empresario de la posible actuación intrusiva de comprobación del empleo de las herramientas informáticas facilitadas a los trabajadores.

Resumiendo

No se trata de valorar la pérdida de productividad o el posible riesgo para la empresa del acceso a ciertas páginas, asuntos en los que la AEPD no entra por no ser claramente de su competencia, sino de considerar la conclusión del Tribunal Superior de Justicia de la Comunidad Valenciana que determinó que la empresa “no ha establecido previamente las reglas de uso de esos medios- con aplicación de prohibiciones absolutas o parciales- ni ha informado a los trabajadores de que se instauraría un control y de los medios que fuera a aplicar en orden a comprobar la corrección de los uso, así como de las medidas que se adoptarían en su caso para garantizar la efectiva utilización laboral del medio informático”, por lo que concluye que existe una violación del derecho a la intimidad del trabajador y determina que “la prueba debe reputarse ilícitamente obtenida”.

 

Política de privacidad para empleados
4.3 (86.67%) 6 votos

17 Comentarios

  1. La Ley de protección de datos se está usando como excusa en muchos casos para despedir sin coste alguno a sus trabajadorres, ya que muchas empresas no poseen ningún software que vele por la protección de esos datos. Y lejos de responsabilizar a las empresas de tales infracciones, ya que no forman a sus trabajadores en esa materia, se está incurriendo con la connibencia de algunas admones., en fraude de ley, es decir, el uso de la ley de protección de datos para justificar de manera abusiva un despido disciplinario. Ya son muchos los casos que no se denuncian por la imntehgridad de los trabajadores y trabajadoras despedidos, en no causar daño alguno a sus empresas, pero la AEPD no gradúa nunca la responsabilidad de la trabajadora o trabajador que en la inmensa mayoría de los casos es el único o la única responsable del tratamiento de esa información. Hay mucho desconocimiento en esta materia, y detrás de ello las decisiones de las respectivas agencias así lo demuestran, hay muchas contradicciones y mucho afán recaudatorio. Causa abuso de la ley responsabilizaar a los trabajadores que en muchos casos carecen de formacióin relativa a esta materia, el hecho de responsabilizarles y con ello cargarles para toda la vida con un despido de carácter disciplinario, para salvaguarda de la empresa. Pero desgraciadamente hay mucho cinismo en este tema, y las empresas siguen abusando y haciendo un uso fraudulento de esa ley para despedir de manera injustificada a sus trabajadores (por ejemplo el hecho de que un trabajador o trabajadora, hay precedentes en estos casos, se pueda llevar el trabajo “a casa”, es trtado por la las empresas como causa justificada de despido). La ley al servicio de las empresas, los trabajadores y trabajadoras, indefens@s, lo que quede después (despidos disciplinarios), eso ya jamás podrá tocarse.

    • Hola Luis, gracias por visitarnos y comentar.
      No soy experto ni mucho menos en el ámbito laboral, pero tu comentario me ha sorprendido. Supongo que para que se pueda admitir el despido justificado y sin coste de un trabajador por un tema LOPD, previamente deberá haber una sanción de la AEPD a la empresa, porque si no ¿cómo se justifica la vulneración de la ley ante Trabajo?
      Aparte de eso, la LOPD no dice en ningún sitio que una empresa deba poseer un “software que vele por la protección de esos datos”, de hecho ese sería un requisito de imposible cumplimiento. Ningún software puede controlar la enorme diversidad de aplicaciones distintas que mantienen datos de carácter personal (programa contable, gestor de correo electrónico, CRM, etc…)

  2. Buenas tardes. La verdad es que hay mucho desconocimiento sobre este tema de conversación, ya que la LOPD me dice lo que debo de cumplir, pero no en caso de que la persona afectada no quiera colaborar en el cumplimiento. De todos los casos que me he encontrado y por norma general, viene como consecuencia de algún conflicto empresa/trabajador, siempre he obstado por la información al trabajador y el razonamiento, pero en casos de negativa reiterada, hago firmar un documento al afectado (que también se negará) donde se hace saber de la negativa a firmar los correspondientes documento de confidencialidad y cláusulas informativas, con la firma de un testigo y del responsable de seguridad o del fichero, que certifique la negativa.
    ¿Sería correcta la iniciativa para estos casos extremos? No se me ocurre otra manera de poder justificar la negativa del trabajador para poder inhibir de responsabilidad a la entidad.

    Muchas gracias.

  3. Buenos días,

    Yo tengo una duda entorno a si existe alguna obligacion en la LOPD de cambiar las contraseñas a las que un empleado despedido tenía acceso… tengo un problema con un trabajador que se ha logueado en remoto a un servidor 15 dias despues de haber sido despedido y no tuvimos la prudencia de cambiar ese password, mi duda es si puedo denunciarlo alegremente o al final será peor el remedio que la enfermedad por haber vulnerado nosotros algún articulo de la LOPD

    Gracias de antemano.

    • Buenas tardes Juan,

      En caso de despido es necesario que la empresa modifique las contraseñas utilizadas por ese empleado para evitar accesos indebidos. Por tanto, no podríais denunciar ya que era responsabilidad de la empresa cambiar ese password. Gracias a ti por leer el blog y por tu consulta

    • Buenos días Juan,
      Esos trabajos son propiedad de la empresa que te contrata para realizarlos pero este tema no está relacionado con la protección de datos sino con la propiedad intelectual. Muchas gracias por leer el blog y por tu consulta

  4. Buenos días,
    Primero de todo, enhorabuena por la página tan completa y muchas gracias por poner tanta información a disposición de todos.
    Me han encargado hacerme cargo de la Protección de datos de la empresa donde trabajo. Tengo una duda con el tiempo que debo guardar los acuerdos de confidencialidad que firman los trabajores todos los años.
    Un saludo.

    • Buenos días Toni,

      Sólo se pueden conservar los datos mientras se estén utilizando o no se haya terminado la finalidad para la que fueron recogidos, pero una vez finalice esta se deben bloquear los datos durante el tiempo estimado en la ley, esto quiere decir que podemos seguir conservando los datos pero no podemos tener acceso a ellos, solo podrán acceder a ellos las administraciones públicas, jueces y tribunales.
      Existen formas de poder conservar los datos:
      Una de ellas es la anteriormente comentada, se conservan los datos cuatro años, que es el tiempo en el cual las Administraciones Públicas, Jueces y Tribunales pueden solicitar el acceso a ellas e incluso prorrogarlo más tiempo, pero el inconveniente está en que la empresa no puede acceder a los datos, solo los conserva hasta que termine el plazo y tenga que borrarlo.
      La otra forma es incluir en la finalidad de recogida de datos, el marketing, de forma que los datos recogidos sean para poder enviarle posibles ofertas o promociones al cliente y de esta forma conservar los datos durante más tiempo.

      Gracias a ti por leer el blog, la finalidad es ayudar con estos temas de Protección de Datos así que me alegro de que te sirva de ayuda. Y gracias por tu consulta

      • Muchas gracias por la respuesta tan rápida. Me surgen dudas, y es que soy novato en estos temas.

        “Sólo se pueden conservar los datos mientras se estén utilizando o no se haya terminado la finalidad para la que fueron recogidos”

        Entonces, de los trabajadores en activo, conservaremos sólo el último Acuerdo de Confidencialidad firmado (puesto que la finalidad del Acuerdo del año anterior puede decirse que termina cuando firman el Acuerdo del año en curso). Pero de los empleados que ya no trabajan para nosotros, deberemos conservarlos ¿siempre???, puesto que el Acuerdo de Confidencialidad que firman dice que están obligados al secreto profesional aun después de finalizar sus relaciones con la empresa.???

        “pero una vez finalice esta se deben bloquear los datos durante el tiempo estimado en la ley, esto quiere decir que podemos seguir conservando los datos pero no podemos tener acceso a ellos, solo podrán acceder a ellos las administraciones públicas, jueces y tribunales.”

        Los Acuerdos de Confidencialidad de los años anteriores de los trabajadores en activo serían entonces los que tendríamos que bloquear, pero son hojas de papel que guardamos en un archivador. ¿Cómo bloqueo un archivador??? ¿Meto los papeles en una caja y la precinto con cinta adhesiva!??? Pero es imposible justificar que nadie la ha abierto, ¿entonces?
        ¿Cuál es el tiempo estimado por la ley para los Acuerdos de Confidencialidad donde únicamente se trata el tema de secreto profesional (nada de marketing ni otras cosas)? ¿4 años?

        Perdona que sea pesado, es que estoy un poco perdido.

        Un saludo.

Dejar respuesta